ابعاد حمله به دو بانک سپه و پاسارگاد/ خطر در کمین دیگر بانک‌ها است!

به بدبینانه‌ترین سناریوها فکر کنید

در 24 تیر , 1404

حسین اسلامی، مدیرعامل رمیس، در گفت‌وگو با عصر‌بانک عنوان کرد: حملات سایبری به دو بانک بزرگ کشور در جریان جنگ ۱۲روزه، نشان داد که اگرچه زیرساخت‌های دیجیتال اهمیت دارند، اما بدون سرمایه انسانی متخصص با حال خوب، نرم‌افزارهای به‌روز و سخت‌افزارهای نوسازی شده و از همه مهم تر نگاه راهبردی به امنیت اطلاعات، تاب‌آوری واقعی در نظام بانکی شکل نمی‌گیرد.

در روزهای پرتنش ۱۲ روزه تجاوز اسرائیل به ایران، زیرساخت‌های حیاتی کشور به‌ویژه شبکه بانکی، هدف حملات سایبری سنگینی قرار گرفتند. بر اساس بیانیه داتین در این حملات که ماهیتی سخت‌افزاری داشتند، تجهیزات ذخیره‌سازی داده (Storage) بانک‌های سپه و پاسارگاد آسیب بسیار جدی دیدند و غیر قابل استفاده شدند. ابعاد آسیب به زیرساخت‌های ذخیره‌سازی اطلاعات تحت مالکیت این دو بانک، به‌حدی بود که منجر به توقف کامل و ناگهانی خدمات بانکی شد و مراکز داده اصلی، پشتیبان و بحران (Disaster) هر دو بانک ظرف چند دقیقه از کار افتادند.

در پی این بحران، شرکت داتین به‌عنوان پیمانکار کلیدی Core بانک پاسارگاد، با تکیه بر راهکارهای نرم‌افزاری اضطراری که از پیش طراحی شده بود، به‌سرعت وارد عمل شد و مراحل بازگردانی خدمات بانکی بانک پاسارگاد را آغاز کرد. در ادامه با تصمیم بانک سپه بر انتقال Core بانک به شرکت توسن، تصمیم گرفته شد بازیابی کامل سرویس‌های این بانک روی سامانه‌های توسن انجام شود. این فرآیند از دوم تیر آغاز و تا هفتم تیر با موفقیت به پایان رسید.

در همین راستا، «عصربانک» گفت‌وگویی با حسین اسلامی، مدیرعامل شرکت رمیس، درباره ابعاد حمله به دو بانک سپه و پاسارگاد در جریان جنگ ۱۲ روزه و راهکارهای مدیریت این بحران بزرگ ترتیب داد.

لزوم توجه هم‌زمان به زیرساخت‌ها، نرم‌افزار و نیروی انسانی

حسین اسلامی در مصاحبه با عصربانک در ابتدا با طرح چند پرسش عنوان کرد: نخست، این سؤال مطرح است که آیا احتمال آسیب‌پذیری سایر بانک‌ها مانند بانک سپه و پاسارگاد وجود دارد یا خیر؟ پاسخ مثبت است. باید بپذیریم که اگر در حال حاضر، به دنبال تجاوز اسراییل دو بانک مهم کشور آسیب دیده‌اند، این به معنای مصونیت سایر بانک‌ها نیست. دوم اینکه آیا این مسئله صرفاً مربوط به زیرساخت‌ها و تجهیزات است؟ پاسخ منفی است. در چنین شرایطی، علاوه بر زیرساخت‌های سخت‌افزاری و نرم‌افزاری، به سرمایه انسانی توانمند و با حال خوب نیز نیاز داریم و البته که نرم‌افزارها و سخت‌افزارها باید به‌صورت مستمر بروزرسانی شوند؛ بنابراین، نمی‌توان این موضوعات را به یک عامل یا یک مجموعه یا فرد خاص نسبت داد. باتوجه ‌به تجربیات پیشین، روشن است که مجموعه‌ای از عوامل در بروز این مسائل مؤثر هستند. در واقع، آسیب هایی از این جنس و عدم بازگشت خدمات در زمان کوتاه به مجموعه‌ای از موضوعات از جمله سرمایه انسانی، نرم‌افزار و نیز سخت‌افزار مرتبط است و برای ارتقاء همه جانبه آنها باید تلاش کرد.

میان حملات سخت‌افزاری و نرم‌افزاری تفکیک کاملاً شفافی وجود ندارد

اسلامی با بیان این نکته که میان حملات سخت‌افزاری و نرم‌افزاری تفکیک کاملاً شفافی وجود ندارد، گفت: معمولاً زمانی که مهاجم به رمز عبور یا سطحی از دسترسی سیستم دست می‌یابد، عملاً به ساختار سخت‌افزاری و نرم‌افزاری مسلط شده و همانند یک مدیر سیستم عمل می‌کند که این امکان را فراهم می‌سازد تا اقدامات مخرب را انجام دهد. در حمله اخیر، گزارش‌ها نشان می‌دهد که حداقل در یکی از بانک‌ها امکان استفاده مجدد از برخی تجهیزات سخت‌افزاری وجود ندارد؛ یا به دلیل خرابی کامل دستگاه‌ها و یا به علت آلودگی آنها.
او ادامه داد: در حملات سایبری پیشین معمولاً اطلاعات هک یا استخراج می‌شدند، اما در ماجرای اخیر با وضعیتی مواجه شدیم که بانک‌ها تا مدت ها عملاً قادر به ارائه خدمات نبودند که این موضوع بسیار نگران‌کننده است. دقت کنیم که بعد از آسیب جدی به سخت افزارها امکان استفاده از داده های پشتیبان در زمان کوتاه نیز فراهم نشده است و این موضوع از منظر تداوم کسب و کار حائز اهمیت ویژه است.

با اعمال به‌روزرسانی‌های لازم روی دستگاه‌ها، از شدت آسیب‌ها کاشته می‌شد

اسلامی در پاسخ به این سؤال که چگونه دسترسی به سخت‌افزارها ممکن شده است، توضیح داد: دو سناریو مطرح است: اول، دسترسی نرم‌افزاری غیرمجاز که موجب اختلال در سخت‌افزار شده و دوم، احتمال وجود ابزارهای مخرب یا سخت‌افزارهای آلوده در سیستم که البته تاکنون هیچ گزارشی مبنی بر نصب چنین دستگاه‌هایی دریافت نشده است، گرچه امکان آن وجود دارد.

او ادامه داد: یکی از موضوعاتی که در سال‌های اخیر دنبال شده، تلاش برای خرید تجهیزات از فروشندگان معتبر است تا از خرید تجهیزات دست‌دوم یا غیرمطمئن اجتناب شود. اما روش خرید بانک‌ها معمولاً بدین شکل است که ابتدا LOM تجهیزات توسط بانک در قالب مناقصه اعلام می شود و بدیهی است که در این بین بسیاری از افراد ناامن این اطلاعات را رصد می‌کنند. البته باز هم لازم به ذکر است که تاکنون شواهدی مبنی بر نصب دستگاه‌های آلوده در سخت‌افزار بانک‌ها مشاهده نشده است. به نظر می‌رسد اگر مدیریت دسترسی‌ها بهتر انجام می‌شد و به‌روزرسانی‌های لازم روی دستگاه‌ها اعمال می‌گردید، امکان داشت از شدت آسیب‌های ناشی از حمله کاسته شود. داده‌ها و تجهیزات بانک‌ها متعلق به خود بانک‌ها است و تأمین آنها طی سال‌ها توسط چندین شرکت مختلف انجام شده است. در بسیاری از موارد، بانک‌ها از چندین تأمین‌کننده مختلف خرید می‌کنند و این موضوع می‌تواند پیچیدگی‌هایی در مدیریت و امنیت به همراه داشته باشد.

نیروی انسانی متعهد در زمان جنگ پای کار می‌ایستد

مدیرعامل رمیس دررابطه‌با راهکارهای کلیدی برای جلوگیری از این حملات سایبری عنوان کرد: جلوگیری از حملات و یا پاسخ مناسب به آنها ابتدا با ایجاد رضایت در نیروی انسانی محقق می‌شود. این موضوع به‌ویژه در شرایط بحران یا جنگ اهمیت بیشتری پیدا می‌کند؛ چرا که نیروی انسانی متعهد و با حال خوب، حاضر است پای کار بایستد. همچنین نرم‌افزار باید مداوم به‌روز و بارها تست شده باشد و سخت‌افزار نیز باید همواره نوسازی و به طور منظم به‌روزرسانی شوند. این اقدامات ریسک را کاهش می‌دهد. بدیهی است که اگر سرمایه گذاری کافی در حوزه فناوری و امنیت اطلاعات نشود، آسیب پذیری قطعی است.

نسخه پشتیبان باید قابلیت بازگشت کامل داشته باشد

اسلامی با اشاره به اهمیت دسترسی به داده‌های پشتیبان ادامه داد: برای مقابله با آسیب، باید به داده‌های پشتیبان دسترسی داشته باشیم. ما باید مختصات جنگی را درک کنیم و اگر در هر مرحله دچار آسیب شدیم، باید بتوانیم به داده‌های پشتیبان دسترسی داشته باشیم تا در صورت ازدست‌رفتن سخت‌افزار یا اطلاعات، بتوانیم آخرین نسخه پشتیبان را روی سخت‌افزار جدید بازیابی کنیم. به نظر می‌رسد در این زمینه نیازمند استفاده از روش‌های نوین و پیشرفته‌تری هستیم. نمی‌توان ادعا کرد که هیچ‌گاه حمله‌ای رخ نخواهد داد، اما می‌توان برنامه‌ریزی کرد که آخرین داده‌ها همیشه موجود باشد و روی سخت‌افزار جدید به‌روز، به‌سرعت بازیابی شود. توصیه من به همکاران این است که حتی اگر قبل از بحران چنین اقدامی انجام نمی‌دادند، اکنون باید حداقل ۳۰ درصد ظرفیت اضافی سخت‌افزاری داشته باشند تا در مواقع بحران بتوانند از آن استفاده کنند.
او همچنین تأکید کرد: نسخه پشتیبان باید قابلیت بازگشت کامل داشته باشد، نه اینکه مربوط به چند روز قبل باشد یا امکان بازیابی کامل را نداشته باشد. این مسئله از اهمیت بالایی برخوردار است؛ بنابراین، به نظر من تمام بانک‌ها باید همین حالا تست کنند که آخرین نسخه پشتیبان‎شان قابلیت بازیابی واقعی روی سیستم را داشته باشد و این تست باید واقعی و عملیاتی باشد، نه صرفاً یک مانور نمایشی؛

اعضای هیئت‌مدیره بانک باید دانش و تجربه کافی در حوزه IT داشته باشند

حسین اسلامی با تشریح BCP و BCM گفت: این وظیفه هیئت‌مدیره بانک‌هاست که به موضوع «برنامه تداوم کسب‌وکار» (BCP) به عنوان راهکاری برای ادامه و حفظ فعالیت‌های بانکی در شرایط بحرانی توجه داشته باشند. سپس، باید مشخص باشد که مدیریت تداوم کسب‌وکار (BCM) چگونه پیش خواهد رفت. به نظر من، اعضای هیئت‌مدیره و حتی مدیرعامل بانک -به‌ویژه در بانک‌های کوچک- باید دانش و تجربه کافی در حوزه فناوری اطلاعات (IT) داشته باشند. شرایط اخیر نشان داد که اگر زیرساخت دیجیتال از کار بیفتد، تمامی شعب و بخش‌های دیگر بانک نیز عملاً از ارائه خدمت بازمی‌مانند. امیدوارم اکنون برای همه روشن شده باشد که فناوری زیربنای اصلی هر سازمان، به‌ویژه بانک‌هاست. در این شرایط دیگر نباید در سرمایه‌گذاری برای نیروی انسانی، نرم‌افزار یا سخت‌افزار صرفه‌جویی کرد.
او همچنین گفت: نباید منتظر برگزاری مناقصه باشیم؛ باید به بهترین شکل ممکن، خرید تجهیزات انجام شود. بارها درباره اهمیت امنیت اطلاعات هشدار داده بودند، اما باور عمومی این بود که «ما» هدف حمله نخواهیم بود؛ درحالی‌که این اتفاق ممکن است برای هر مجموعه‌ای رخ دهد. متأسفانه بسیاری اصلاً احتمال چنین بحرانی را نمی‌دادند، یا اگر هم می‌دادند، آن را بسیار دور تصور می‌کردند.

تنوع‌بخشی به معماری زیرساخت بسیار مهم است

اسلامی در ادامه بیان کرد: یکی از موضوعات مهمی که ما باید پیش از بحران به آن می‌پرداختیم، بحث معماری زیرساخت بود. تنوع‌بخشی به تجهیزات بسیار مهم است. چرا باید در سه مرکز داده متفاوت، از یک نوع برند و یک معماری ثابت استفاده شود و گاهی در چند مجموعه مختلف تکرار شود؟! این کار باعث می‌شود در صورت آسیب‌پذیری یک محصول از یک برند مشخص، هم پایگاه اصلی و هم پشتیبان از کار بیفتند. در این زمینه ما تأمین‌کنندگان هم بی‌تقصیر نیستیم. ما هم باید زودتر از این به سمت تنوع‌بخشی می‌رفتیم. وقتی یک‌بار از یک برند خرید شده، برای دفعات بعد باید برندهای دیگر هم بررسی شوند. اکنون توصیه ما این است که این تنوع رعایت شود. از طرف بانک‌ها و سایر مجموعه ها و به ویژه بدنه سرمایه انسانی حوزه فناوری نیز باید این دیدگاه وجود داشته باشد. معمولاً تمایل بر این است که با همان برندهای آشنا، فعالیت ادامه داده شود، اما باید حداقل در ایران از این تفکر فاصله گرفت و به سمت تجهیزات دیگر رفت. این کار می‌تواند میزان آسیب‌پذیری را کاهش دهد.

او تأکید کرد: به نظر من، اکنون وقت آن رسیده که با دقت و جدیت بیشتری با واقعیت‌ها روبه‌رو شویم. هیئت‌مدیره و مدیران ارشد باید گزارش‌های واقعی دریافت کنند، نه این‌که صرفاً گفته شود «همه چیز روبه‌راه است». اکنون باید ضمن تشکر از همه آنها که در طی زمان جنگ پای ایران ایستادند و خدمات دادند، تشکر ویژه کرد و البته در ادامه راه به بدبینانه‌ترین سناریوها نیز فکر کرد و از مشاوران بیرونی هم کمک گرفت.

پشتیبانی معمولاً مربوط به سخت‌افزار است

اسلامی در پاسخ به این سؤال که رمیس به چند بانک خدمات ارائه می‌کنند عنوان کرد: رما در رمیس تقریباً به تمامی بانک‌ها خدمات ارائه می‌کنیم. هم در بخش پشتیبانی و هم در هر مناقصه‌ای که برگزار می‌شود و توان انجام آن را داشته باشیم، شرکت می‌کنیم. پشتیبانی معمولاً مربوط به سخت‌افزار است، درحالی‌که پشتیبانی نرم‌افزار معمولاً توسط ارائه دهندگان خدمات نرم افزاری انجام می شود.

تجربه مدیریت در ۱۲ روزه جنگ در رمیس

مدیرعامل رمیس دررابطه‌با وضعیت این شرکت در شرایط جنگ بیان کرد: در دو سه روز اول، به دلیل عدم شفافیت کامل در خصوص ابعاد حمله، تلاش کردیم حداکثر میزان دورکاری را اجرا کنیم. واقعاً به‌جز مدیران، سعی شد سایر همکاران تاحدامکان در محل کار حضور نداشته باشند. اما در هفته دوم، شرایط متفاوت شد. هم مشتریان انتظارات بیشتری از ما داشتند و هم ما وظیفه داشتیم که به برخی از بانک‌ها برای بازگشت به شرایط عادی کمک کنیم؛ بنابراین، به سمت اجرای مدل کاری شیفتی حرکت کردیم: یک‌سوم از نیروها به‌صورت حضوری، یک‌سوم دورکار، و یک‌سوم در مرخصی قرار گرفتند. همچنان تلاش کردیم مدیران بیشتر در محل حضور داشته باشند و در خط مقدم بایستند تا همکارانی که ممکن بود نگرانی‌هایی داشته باشند، حمایت بیشتری احساس کنند. باید بگویم که همکاران ما واقعاً پای کار ایستادند. به‌عنوان‌مثال، در روز دوشنبه اول جنگ، در همین ساختمان ستادی، بیش از ۵۰ نفر از کارکنان حاضر بودند. شرایط جنگ سایبری نگرانی‌ها و سختی‌های خاص خود را دارد، اما واقعیت این است که در رمیس، ما شاهد پشتیبانی جدی از سوی سرمایه انسانی خود بودیم. همین موضوع باعث شد بتوانیم به بسیاری از مشتریان خدمات‌دهی مؤثری داشته باشیم.

مشکل اصلی این است که ما بیش از حد به فناوری متکی شده‌ایم

اسلامی ادامه داد: عمق فاجعه‌ای که برای این دو بانک رخ داد، در این بود که ارائه خدمات به طور کامل قطع شد؛ درحالی‌که نباید هیچ‌گاه چنین اتفاقی رخ دهد. حتی در بدترین شرایط نیز، باید امکان برداشت محدود وجه نقد وجود داشته باشد تا بتوان نیازهای روزمره را برای یکی دو روز مدیریت کرد تا سیستم‌ها مجدداً به مدار بازگردند.

او با بیان این نکته که مشکل اصلی ما این است که بیش از حد به فناوری در حوزه بانکی و پرداخت متکی شده‌ایم، گفت: شما اگر در کشورهای دیگری مانند امارات یا کشورهای اروپایی باشید، معمولاً چند اسکناس 100 یا ۲۰۰ درهمی/یورویی در دست دارید. درحالی‌که در ایران، حتی در صورت فعال‌بودن دستگاه‌های خودپرداز، برداشت‌ها به‌صورت محدود مثلاً ۳۰۰ هزار تومان انجام می‌شود که پاسخ‌گوی نیاز یک خانواده چندنفره برای چند روز نیست.

مسئله مهم‌تر این است که پول نقد نیز به‌شدت کم شده است. در شرایطی که نرخ دلار بسیار پایین‌تر از امروز بود، زمانی چک پول ۵۰۰ هزارتومانی وجود داشت. امروز اما اسکناس ۱۰۰ هزارتومانی عملاً معادل یک یورو است که کارایی لازم را در شرایط بحران ندارد؛ بنابراین، طراحی اسکناس‌ها و میزان در دسترس بودن آنها باید متناسب با هزینه‌های روز خانوار تنظیم شود و در زمان بحران آسیب دیدن زیرساخت بانک‌ها ،وجه نقد از طریق خودپردازها قابل تأمین باشد. این برنامه‌ریزی از وظایف بانک مرکزی است که لازم است به آن توجه بشود.

دو بانک آسیب دیده توصیه‌های فنی و مدیریتی خود را در اختیار دیگر بانک‌ها قرار دهند

اسلامی در خصوص آسیب دیدن دو بانک سپه و پاسارگاد در زمان جنگ عنوان کرد: در این ماجرا، زحمت های زیادی توسط همکاران بانک‌ها آن هم در شرایط بحرانی کشیده شد که نیازمند تقدیر است. برخی مواقع، اعلام مفصل موضوعات رخ داده برای مجموعه‌ها دشوار است، اما درخواست ما این است که توصیه‌های فنی و مدیریتی تجربه شده این دو بانک در اختیار دیگر بانک‌ها قرار گیرد تا از تکرار چنین اتفاقاتی جلوگیری شود.

او ادامه داد: این بحران پایان یک ماجرا نیست؛ بلکه باید آن را شروعی برای افزایش آمادگی در نظر گرفت. هیچ‌کس تصویر درستی از آینده ندارد. حتی در صورت برقراری آتش‌بس، طرف متجاوز قابل اعتماد نیست و سوابق رفتاری‌اش نشان داده که در عمل خلاف حرف‌ها و حتی تعهداتش رفتار می‌کند؛ بنابراین، باید همین امروز آماده وقوع اتفاقات مشابه باشیم و خدمات‌رسانی به مردم را در هر شرایطی تضمین کنیم.

متأسفانه اطلاعات پایه‌ای کاربران ما به‌راحتی در دسترس است

اسلامی با تشریح سیستم‌های بانکی در دیگر کشورها ادامه داد: در برخی کشورها، سیستم بانکی تحت این میزان فشار قرار ندارد. ما حتی در مطالعاتمان دیدیم که برخی از مؤسسات مالی خاص برای ارائه خدمت به افراد نظامی وجود دارد، و در قالب ویژه‌ای اطلاعات حساس از کاربران ذخیره می‌شود، درحالی‌که اطلاعات پایه‌ای کاربران ما حتی در بخش نظامی(از نام و نام خانوادگی تا اطلاعات خانواده و محل سکونت) به‌راحتی در دسترس است. متأسفانه ماه‌ها پیش نیز نمونه‌هایی از افشای این اطلاعات وجود داشت که گفته شد از یک مجموعه غیر از بانک نشت کرده است. ما هنوز نمی‌دانیم دقیقاً چه میزان داده از بین رفته یا در اختیار مهاجم قرار گرفته و بهتر است در این شرایط و تا اعلام رسمی خود بانک ها، قضاوت نکنیم.

باید از این حادثه درس گرفت و برای آینده آماده بود

مدیرعامل شرکت رمیس گفت: در این میان، باید قدردان تلاش متخصصان فناوری اطلاعات بود. این جنگ، مانند جنگ ایران و عراق نیست. طرف مقابل، مجموعه‌ای از توانمندی‌های فناوری و نظامی آمریکا و حتی کشورهای عضو ناتو را در اختیار دارد؛ از حمایت لجستیکی گرفته تا زیرساخت سایبری؛ این صرفاً یک حمله از سوی یک دولت خاص نیست، بلکه جنگی تمام‌عیار در حوزه فناوری است. ازبین‌بردن زیرساخت یک بانک، به‌مثابه ترور در حوزه اقتصادی است و دقت کنیم که گرچه در فضای نظامی الان شاهد زد و خورد نیستیم ولی در دنیای فناوری تازه دفاع ما شروع شده و ادامه دارد.

او در آخر بیان کرد: ما باید نکات مثبت را هم ببینیم به طور مثال زیرساخت‌هایی مانند شتاب و شاپرک همچنان فعال بودند و به خدمات‌رسانی ادامه دادند و چه بسا که باید برای مقابله با حملات به این نوع سامانه ها نیز آماده باشیم و راه حل‌های جایگزین نیز حتما توسط نهادها ذیربط پیش‌بینی شود؛ بنابراین، باید از این حادثه درس گرفت و برای آینده آماده بود. مهم‌ترین اولویت، جلوگیری از تکرار این رخداد است. ما همیشه در معرض آسیب هستیم، اما می‌توانیم کاری کنیم که غافلگیر نشویم و بتوانیم خدماتمان را به مردم ادامه دهیم.

وی در انتها ضمن تشکر از همه فعالانی که در دوره جنگ پای خدمات بانک‌ها و فین‌تک ها ایستادند و با قبول مسئولیت خدمات به مردم را عایرغم لطمه های جدی از سر گرفتند، تأکید کرد که صنعت بانکداری و مدیران ارشد آن نیازمند بازنگری جدی در نوع نگاه خود به حوزه فناوری و نیز امنیت اطلاعات هستند. شاید امروز فرصتی باشد برای پی بردن به اهمیت فناوری اطلاعات در بانک ها و فین‌تک‌ها.

رمیس